Самое время запланировать проверку использования в легаси RC4 в DC Windows. В середине 2026 запланированы обновления по отключению данного криптоалгоритма в Windows.
https://www.microsoft.com/en-us/windows-server/blog/2025/12/03/beyond-rc4-for-windows-authentication.
https://www.microsoft.com/en-us/windows-server/blog/2025/12/03/beyond-rc4-for-windows-authentication.
Microsoft
Beyond RC4 for Windows authentication
As organizations face an evolving threat landscape, strengthening Windows authentication is more critical than ever.
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4356302/nsa-releases-unified-extensible-firmware-interface-secure-boot-guidance/
Руководство от АНБ по безопасной настройке UEFI/BIOS.
Руководство от АНБ по безопасной настройке UEFI/BIOS.
National Security Agency/Central Security Service
NSA Releases Unified Extensible Firmware Interface Secure Boot Guidanc
FORT MEADE, Md. – The National Security Agency (NSA) is releasing the Cybersecurity Information Sheet (CSI) “Guidance for Managing UEFI Secure Boot” to provide guidance on addressing
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218r1.ipd.pdf
Проект стандарта новой версии требований по безопасной разработке SSDF версия 1.2
Проект стандарта новой версии требований по безопасной разработке SSDF версия 1.2
Forwarded from PWN AI (Artyom Semenov)
Помните больше года назад я сделал список Awesome_LLMSecOps, где были собраны интересные материалы, сравнительные таблицы и всякие там решения.
Недавно я решил существенно обновить его: добавил всё самое интересное, что появилось в 2025 году, а также включил новые темы, связанные с WhiteBox и подходом secure-by-design.
Теперь им уже можно насладиться на GitHub. Пусть этот список станет вашим надёжным щитом и верным мечом в мире LLM-security сейчас и в будущем.
https://github.com/wearetyomsmnv/Awesome-LLMSecOps
> щит и меч - настоящие
Недавно я решил существенно обновить его: добавил всё самое интересное, что появилось в 2025 году, а также включил новые темы, связанные с WhiteBox и подходом secure-by-design.
Теперь им уже можно насладиться на GitHub. Пусть этот список станет вашим надёжным щитом и верным мечом в мире LLM-security сейчас и в будущем.
https://github.com/wearetyomsmnv/Awesome-LLMSecOps
> щит и меч - настоящие
👍1
5 network security predictions for 2026:
1. Zero trust for AI becomes a priority.
2. Living-off-the-land attacks become pervasive, in part due to AI.
3. Browser security heats up, but to augment, not replace existing tools.
4.The AI security market begins to thin out.
5.SaaS security consolidation accelerates.
1. Zero trust for AI becomes a priority.
2. Living-off-the-land attacks become pervasive, in part due to AI.
3. Browser security heats up, but to augment, not replace existing tools.
4.The AI security market begins to thin out.
5.SaaS security consolidation accelerates.
Forwarded from Network Warrior
5 network security predictions for 2026
https://www.techtarget.com/searchsecurity/opinion/NetworkSecurity-predictions
https://www.techtarget.com/searchsecurity/opinion/NetworkSecurity-predictions
https://csrc.nist.gov/pubs/ir/8587/ipd
Проект отчета NIST по защите токенов в облаках. Дан анализ основных подходов и их плюсов и минусов.
Проект отчета NIST по защите токенов в облаках. Дан анализ основных подходов и их плюсов и минусов.
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8587 (Draft), Protecting Tokens and Assertions from Forgery, Theft, and Misuse: Implementation…
This report provides implementation guidance to help federal agencies and cloud service providers (CSPs) protect identity tokens and assertions from forgery, theft, and misuse. Building on updates to NIST SP 800-53 (Release 5.1.1), it outlines principles…
https://www.zdnet.com/article/what-are-passkeys/
Хорошее и простое объяснение что такое passkey и как ими пользоваться. После недавних обновлений в телеграмм, passkeys стали весьма популярным инструментом.
Хорошее и простое объяснение что такое passkey и как ими пользоваться. После недавних обновлений в телеграмм, passkeys стали весьма популярным инструментом.
ZDNET
What are passkeys really? The simple explanation - for anyone tired of passwords
Yes, the technology underlying passkeys is confusing. Here's a plain-English guide that can help you ditch passwords today.
Несколько уже поздновато, но для небольших компаний ещё можно успеть выполнить часть шагов для подготовки к длительным праздникам.
Forwarded from Порвали два трояна
Пока ваша ИБ-команда будет отдыхать на новогодних каникулах, некоторые хакеры планируют работать сверхурочно.
Преступники пользуются тем, что обычные сотрудники расслаблены, часть SOC на больничных и в отпусках, поэтому проникнуть в компанию проще, а усилия по реагированию на инцидент скорее всего будут недостаточны и хуже скоординированы.
Чтобы не пришлось экстренно прерывать отдых с семьёй, примите несколько мер заблаговременно: от назначения ответственных и временной деактивации части аккаунтов до привлечения сервиса MDR.
Полный список для предпраздничной ИБ-подготовки читайте в блоге.
Торопитесь, осталась всего неделя!
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Как защитить корпоративную сеть во время праздников
Пять советов IT-администраторам, чтобы защитить сеть и избежать взлома во время новогодних каникул.
Добавилось 5 угроз по ИИ в БДУ ФСТЭК 19.12.2025:
УБИ. 222 Угроза подмены модели машинного обучения
УБИ. 221 Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных
УБИ. 220 Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта
УБИ. 219 Угроза хищения обучающих данных
УБИ. 218 Угроза раскрытия информации о модели машинного обучения
УБИ. 222 Угроза подмены модели машинного обучения
УБИ. 221 Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных
УБИ. 220 Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта
УБИ. 219 Угроза хищения обучающих данных
УБИ. 218 Угроза раскрытия информации о модели машинного обучения
Forwarded from Ассоциация ФинТех
ФСТЭК определила угрозы ИБ от ИИ.
✅ Федеральная служба по техническому и экспортному контролю внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом. Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры, пишут «Ведомости».
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. В частности, это модели машинного обучения, датасеты, а также RAG и LoRA. Также обозначены векторы возможных атак, включая эксплуатацию уязвимостей в фреймворках для ИИ, модификацию системных промптов или конфигураций агентов, а также DoS-атаки, направленные на исчерпание квоты запросов.
✅ Федеральная служба по техническому и экспортному контролю внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом. Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры, пишут «Ведомости».
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. В частности, это модели машинного обучения, датасеты, а также RAG и LoRA. Также обозначены векторы возможных атак, включая эксплуатацию уязвимостей в фреймворках для ИИ, модификацию системных промптов или конфигураций агентов, а также DoS-атаки, направленные на исчерпание квоты запросов.